собственно, поэтому я поставил nginx и приладил к нему let's encrypt (не захотел возиться с запихиванием этих цертов в контейнер реестра и их последующим обновлением), получилось норм...

собственно, поэтому я поставил nginx и приладил к нему let's encrypt (не захотел возиться с запихиванием этих цертов в контейнер реестра и их последующим обновлением), получилось норм...

Тоже попробую Let's encrypt использовать. Но это не отменяет запихивание в контейнеры, вроде, нет? :)

нет, запихивать ничего не нужо, центру let's encrypt доверяют все

если речь о размещении сертификатов, то тоже не нужно ))

https://docs.docker.com/registry/recipes/nginx/#setting-things-up

без реверс-прокси, конечно, нужно церты пихать в контейнер с реестром (если реестр в контейнере)

если речь о размещении сертификатов, то тоже не нужно ))

?

Квинтэссенция боли ? (вдруг кому будет интересно) https://habrahabr.ru/post/332450/

Да кому может быть интересно обзирать скелета или что то более истлевшее, только если в академических целях, но для этого там слишком истеричный стиль

ну че. многие моменты описаны правильно. хотя по стилю статьи видно что наболело.

без реверс-прокси, конечно, нужно церты пихать в контейнер с реестром (если реестр в контейнере)

Блин, у меня сервер снаружи не виден. Он во внутренней сети только. Можно, я так понимаю, вообще без сертификатов обойтись?

без сертификатов только локально работает...

docker pull/push https хочет

Сделай самоподписанный сертификат, и раскладывай его на тачки, в чем сложность?

собственно, поэтому я поставил nginx и приладил к нему let's encrypt (не захотел возиться с запихиванием этих цертов в контейнер реестра и их последующим обновлением), получилось норм...

Сделали аналогично, там единственное уточнение в proxy-pass необходимо передавать специальный хидер для registry

Сделай самоподписанный сертификат, и раскладывай его на тачки, в чем сложность?

собственно, да... ansible, например, сильно облегчит этот момент ))

собственно, да... ansible, например, сильно облегчит этот момент ))

Да без разницы как серты доставлять, хоть пакером раскладывай

Сделали аналогично, там единственное уточнение в proxy-pass необходимо передавать специальный хидер для registry

у меня схема немного сложнее, чем описана в офф доке, у меня nginx<->nginx<->registry, tls на первом nginx... эта схема не работала... я тут выше задавал вопрос, но никто не асилил ответить. впрочем, решение я сам нашел ?

Сделай самоподписанный сертификат, и раскладывай его на тачки, в чем сложность?

Вопрос распихивания сертификатов напрягает. Но видимо в этом направлении и придется двигаться

docker pull/push https хочет

жаль... придется рыть

Вопрос распихивания сертификатов напрягает. Но видимо в этом направлении и придется двигаться

нахреновертить тучу всяких скриптов деплоя и сборки имеджей не напрягает, а такая мелкая работа, как просто скопировать один файлик в папочку - напрягла? ?

Напрягает то, что половина этих действий приходится как-то вручную делать. А мне хочется запустить один скрипт и чтобы он мне на новой машине развернул целый зоопарк, цирк и карусельку.

чтобы на машине запустить скрипт, туда сначала надо накатить, как минимум, ось и докер с докер-композером...

почему бы на этом этапе на впилить церт?

у меня, например, настройка docker-ноды, после установки операционки, занимает нажатие одной кнопки ?

у меня, например, настройка docker-ноды, после установки операционки, занимает нажатие одной кнопки ?

тут вопрос простой - когда надоест руками делать

кто нибудь включал docker registry в gitlab?

кто нибудь включал docker registry в gitlab?

там все просто же ))

не для меня=(

в чем проблема?

сертификат обязательно нужен?

да, обязательно

выше как раз про сертификат разговор был, десяток постов наверх

самоподписанный пойдет?

why not?

docker работает только с сертификатами, которым есть доверие, поэтому нужно корневой сертификат локального центра сертификации сунуть на все хосты, с которых планируется работать с registry

вот ответ про самоподписанный

чтобы на машине запустить скрипт, туда сначала надо накатить, как минимум, ось и докер с докер-композером...

Ну это есть уже. А вот все остальное хочется автоматически. )

Ну это есть уже. А вот все остальное хочется автоматически. )

тогда ansible/puppet/etc... )))

Но я похоже просто не понимаю принцип работы с сертификатами. У кого они должны быть, как они должны выглядеть и т.д. Видимо надо это копать сначала.

Ну это есть уже. А вот все остальное хочется автоматически. )

ну вы ос ставите же? ну ставьте серты вместе с ос.

можно извращнуться при деплое скриптом, который перед основными процедурами скриптом через ssh впилит сертификат в папку и заапдейтит кеш

сертификат обязательно нужен?

нет, можешь сделать insecure registry

нет, можешь сделать insecure registry

Это настройки где-то в докере, да?

такой вариант мне больше нравится

нет, можешь сделать insecure registry

это правда при условии локального использования, в gitlab подразумевается распределенная работа

Это настройки где-то в докере, да?

на каждый хост с докером делаешь настройку

/etc/docker/daemon.json { "insecure-registries" : ["myregistrydomain.com:5000"] }

если вся работа gitlab происходит исключительно на одном хосте (ВООБЩЕ вся), то можно попробовать инсекьюр

да хоть 50 хостов, речь же явно о локальной сети

да

да, я вру, инсекьюр будет работать без tls совсем

на каждый хост с докером делаешь настройку

Ага, вполне вариант. У меня пока на одном сервере, вообще все. Но чуть позже будет несколько. Но, учитывая, что все внутри защищенной сети, то заморочки с сертификатом выглядят излишними.

ток там нельзя будет включить юазовую аутенотифкацию даже

Ага, вполне вариант. У меня пока на одном сервере, вообще все. Но чуть позже будет несколько. Но, учитывая, что все внутри защищенной сети, то заморочки с сертификатом выглядят излишними.

ну если в сети кто-то кроме тебя есть то не такая уж она и защищенная

Там дофига кто есть :)

короче говоря, тут все подробно написано: https://docs.docker.com/registry/insecure/ ?

а так в целом конечно что сделать таск для установки сертификата, что сделать таск для установки инсекьюр регистри

инсекьюр чем грозит, вообще? Возможной подменой registry?

а так в целом конечно что сделать таск для установки сертификата, что сделать таск для установки инсекьюр регистри

прописывать инсекьюр надо так же на всех хостах с docker

прописывать инсекьюр надо так же на всех хостах с docker

ну я и говорю, что работы одинаковое количество

что серт раскидать, что конфиг поменять

дада, я просто обращаю внимание нуждающихся

Я и говорю, что инсекьюр - это скорее попытка обойти непонимание работы сертификата

работы одинаково (ну ладно, с инсекьюр немного меньше, но не значительно), а безопасность ухудшится с инсекьюр, поэтому нет смысла с этим затеваться ИМХО

ну опять же если серт самоподписный, если нет hsts то это скорее иллюзия безопасности, от mitm то никак не защищены будете. Я в итоге выбрал vmware harbor в качестве регистри и всё таки все еще и по паролю ходят и gitlab ci и разрабы.

а зачем локальный реджистри? почему не взять docker hub?

а зачем локальный реджистри? почему не взять docker hub?

затем, что требование бизнеса ))

стоит он копейки все проблемы решает. качать с c3 долго? поставьте рядышком локальный кэш вашего хаба(гуглить docker registry as a proxy). так зачем registry то?

затем, что требование бизнеса ))

например?

например?

например: "все должно быть только инсайд. точка."

мне просто интересно какэто требование бизнеса звучит?

например: "все должно быть только инсайд. точка."

вы используете докер, это уже не работает.

вы используете докер, это уже не работает.

это прекрасно работает

хотите все инсайд делайте свою систему изоляции.

делайте свое ядро

и свою сетку и свои диски список можно продолжать

хотите все инсайд делайте свою систему изоляции.

может быть, предложите материнскую плату спаять? не лезьте в бутылку-то )))

может быть, предложите материнскую плату спаять? не лезьте в бутылку-то )))

ну так это у вас там бизнес хочет все инсайд

каким образом бизнес регламентирует как работать разработчикам вот только не понятно

ну так это у вас там бизнес хочет все инсайд

в данном случае нельзя использовать докер хаб, локальный прекрасно справляется

ну да ладно, закроем вопрос.

каким образом бизнес регламентирует как работать разработчикам вот только не понятно

договором, регламентами, должностными инструкциями и прочим

закончим на этом.

а зачем локальный реджистри? почему не взять docker hub?

странный вопрос, а как вы вообще докер используете? у нас 99% это самописное ПО и образы собирает ci из репки на гитлабе, не буду ведь я заливать на докерхаб такое.

странный вопрос, а как вы вообще докер используете? у нас 99% это самописное ПО и образы собирает ci из репки на гитлабе, не буду ведь я заливать на докерхаб такое.

почему? в чем проблема?

никак не сделать прайвайт репу, ну ок.

почему? в чем проблема?

как минимум в интеллектуальной собственности и объеме )))

как минимум в интеллектуальной собственности и объеме )))

сделайте прайват репу. при чем тут интеллектуальная собственность? про объем я уже писал.

сделайте прайват репу. при чем тут интеллектуальная собственность? про объем я уже писал.

про объем: 1 - не писал 2 - каждый раз заливать по 50 гигов? всякие бывают задачи

в день сборок штук 10, и что, 500 гигов лить на хаб? через интернет?

прайват репу? серьезно? конечно, туда никто-никто не смотрит! все честно!

что за детсад-то? )))

что за детсад-то? )))

окей. извините. за вами следят я понял.

сделайте прайват репу. при чем тут интеллектуальная собственность? про объем я уже писал.

Ну сервис всё же публичный и уявзимостей там не может не быть. Во вторых в силу специфики проекта я не думаю что любой житель рф вообще бы хотел что бы данные такого рода лежали где-то в инетике. В третьих опять же инетрнет, казалось бы ну как бы пофиг так, можно хоть террабит трафика перекачать туда-сюда, ток есть проблема - российская криптуха больше гигабита не умеет, у нас например все сети на "заставах" т.е. там в идеальном случае будет гигабит на всех, ну как бы не покачаешь.

Да ладно, требования в компаниях различаются. Где-то и уволить могут за репу где-то кроме ресурсов компании

ну мы типа рассматриваем разумные требования

ну мы типа рассматриваем разумные требования

понятие "разумности" у всех разные. хоумпагу накаленную можно и залить на хаб, а за алгоритмы обработки биг даты бизнес няньца оторвет и скушать заставит

разумность понятие такое иб где-то есть, а где-то иб - это единственный админ-девопс

опять же не хотелось бы попасть на такой случай когда регистри сломают и образы подменяет например или добавят чего, репки пакетных дистрибутивов любят вот ломать